Продолжение приключений с доставкой флипперв в РФ — вы не имеете права заказывать программатор для личных нужд, понятно? Это незаконно. Заказы в которых отдельно отладчик без флиппера блокируют доставку.

Отвечая на вопрос “когда флипперы доставят в рф” — я не ебу. Возможно, будет проще вернуть росиянцам деньги, чем мучаться с этим.

Часто использую этот скрин в разных переписках про Флипперы.

Время ещё раз публичного обнародования публичного сообщения Паши в публичном чате.

Snyk, совместно с Linux Foundation, отчёт собрал про эти ваши наши опенсорцы.

Addressing cybersecurity challenges in open source software with the Linux Foundation
https://snyk.io/blog/addressing-cybersecurity-challenges-in-open-source-software/

Сама pdf-ка скрыта от прямого скачивания, просят почту, поэтому я её сюда тоже сразу прикреплю.

Китайские робособаки от Unitree Yushu Technology (https://www.unitree.com/)

На первой автомат QBZ-95, на второй гранатометная установка.

Неожиданно, но можно себе на Алике купить такую хреновину за $8000
https://www.aliexpress.com/item/3256804150734936.html

> To make up for tracking users, recording their movements “every few minutes” even when the app was closed, the chain is proposing to give affected users… a free hot beverage and a free baked good worth a little under $9 CAD plus tax.

Всё ещё лучше чем нихуя ($0 CAD) от компаний из РФ

What does Tim Hortons think your data is worth? A coffee and donut, apparently
https://www.theverge.com/2022/8/1/23286824/tim-hortons-location-tracking-proposed-class-action-settlement-data-privacy-coffee-donut

Предыстория

Tim Hortons app violated privacy laws in collection of ‘vast amounts’ of sensitive location data
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2022/nr-c_220601/

Понял-принял

Например, недобросовестные VPN-сервисы: обещая пользователю возможность открывать заблокированные сайты, они мониторят весь интернет-трафик, выуживая оттуда всё ценное. Именно VPN-сервисы сегодня основной поставщик персональной информации для хакеров (которые обогащают ими старые базы) и мошенников. 

https://xn--r1a.website/rosmolodez/4658

Я тут более менее определился с мероприятиями, где представлю новые доклады про Kubernetes и рад сегодня с вами этим поделиться. И так:

- OFFZONE 2022 (Москва), 25-26 августа, "Безопасность Kubernetes: Фаза Deception" - рассмотрим ловушки для злоумышленников в Kubernetes на базе его механизмов и не только.
- KazHackStan 2022 (Казахстан, г.Алматы), 14-16 сентября, "Специфика расследования инцидентов в контейнерах" - в данном докладе рассмотрим какая есть специфика, которая ряд моментов делает более сложными, а некоторые более простыми.
- Kazan Digital Week 2022 (Казань), 21-24 сентября, поучаствую в круглом столе об облаках.
- HighLoad++ 2022 (Москва), 24-25 ноября, (CFP комитет еще рассматривает заявку) "Сочетание несочетаемого в Kubernetes: удобство, производительность, безопасность" — как ИТ и ИБ в кластере Kubernetes могут сразу делать и оптимально, и удобно и при этом безопасно. И все живут мирно и дружно!

Буду рад со всеми встретится и пообщаться!

При этом есть 2 интересных/полезных момента:
1) В рамках OFFZONE есть AppSec.Zone и тут мои хорошие знакомые еще ищут докладчиков - есть шанс залететь туда и поделится своим опытом, исследованием ;)
2) Также я хочу разыграть 1 билет на OFFZONE и для того чтобы его выиграть необходимо в комментариях к этому посту предложить тему исследования в области безопасности Kubernetes, которая вам интересна/полезна и вы бы с удовольствием ее послушали ;)

Bad Apple!! на Электроника МК-90

Моё первое демо - классическое Bad Apple!! на МК-90.
Видео - 120x64 25.6 кадров в секунду. Упаковано вариацией LZ77 до ~775Кб.
Звук - псевдо-полифония по методу, прекрасно описанному Shiru в этой статье - https://habr.com/ru/post/438448/, подготовлено с помощью его же плагина PCSPE (слегка адаптированного под специфику МК-90).
В качестве модуля памяти используется Raspberry Pi Pico.

https://www.youtube.com/watch?v=1qESkvDjKXA

Эскалация привилегий в Kubernetes
https://habr.com/ru/post/675034/

Сергей, автор поста-перевода, делал доклад вместе с Димой (@k8security) на Positive Hack Days 2022

NetworkPolicy — родной межсетевой экран Kubernetes
https://www.youtube.com/watch?v=uc-pph_z76Y

Тем не менее, некоторые участники сообщества считают предлагаемое удаление порочной практикой, так как код из неактивных репозиториев может использоваться в качестве зависимости в других проектах, остающихся активными. Также отмечается, что постоянные изменения не являются целью некоторых авторов, которые вполне могут считать, что текущее состояние их проекта достигло оптимального уровня, и код достаточно хорош и не требует улучшения, или изначально открывать готовые наработки, которые не планируется развивать, но которые могут оказаться полезными окружающим.

Удивительно, что в самом GitLab об этом не подумали.
Если эту балалайку введут, то очевидно что с облачного GitLab'а надо съезжать.

Компания GitLab планирует в сентябре внести изменения в правила использования сервиса, в соответствии с которыми проекты, размещаемые на хостинге GitLab.com бесплатно, будут автоматически удаляться, если в течение 12 месяцев их репозитории будут оставаться неактивными. Изменения правил пока не объявлены официально и находятся на стадии внутреннего планирования.

GitLab намерен удалять бесплатно размещённые проекты, неактивные в течение года
https://www.opennet.ru/opennews/art.shtml?num=57595

Пятничное

Карта Dota 2 в Героях 3 (HotA)

Саму карту прицеплю в комменты

Группа разработчиков HotA - https://vk.com/h3hota
Группа разработчиков карты - https://vk.com/artmaps

Обновление

Дополнение 1: Компания GitLab пересмотрела свои планы и решила не удалять неиспользуемые репозитории, а перемещать их в отдельное объектное хранилище. Отмечается, что хранилище с устаревшими проектами будет более медленным, чем основное хранилище для активных репозиториев, но оно позволит не потерять безвозвратно код. Пока не уточняется смогут ли обращаться к архиву все желающие или он останется доступен только для владельцев удалённых проектов.

Дополнение 2: Руководитель GitLab уточнил, что подлежащие чистке неактивные репозитории останутся доступны для чтения всем желающим и, скорее всего, доступ к ним будет напоминать возможность работы с проектами, переведёнными разработчиками в разряд архивных.

https://www.opennet.ru/opennews/art.shtml?num=57595

https://www.reddit.com/r/cpp/comments/wilctv
Я тут сделал небольшой пост-анонс на реддите о яклиб, если у вас есть технические вопросы, или что-то подобное, пишите ;)

Ещё я почистил issue, и отметил good first issue, может кого заинтересует:
https://github.com/YACLib/YACLib/issues?q=is%3Aopen+is%3Aissue+label%3A%22good+first+issue%22


Ну и в качестве чего-то интересного:
Известные мне реализации в библиотеках user-space mutex для корутин C++20, в cppcoro, libunifex, folly::coro, содержат одинаковый серьезный баг, весь код после unlock может быть сериализован.
Проблема в общем здесь https://github.com/facebook/folly/blob/main/folly/experimental/coro/Mutex.cpp#L73, код после unlock начнет исполняться только после исполнения всех критических секций в батчн и при этом будет исполняться последовательно, то есть после unlock нужен reschedule, и даже это лишь маскирует проблему и лишает смысле Unlock как просто функция.


В YACLib мы сделали Unlock иначе:
https://github.com/YACLib/YACLib/blob/main/include/yaclib/coroutine/async_mutex.hpp#L215
И избежали этой проблемы, сохранив преимущества эффективной lockfree реализации и возможности батчинга критических секций (только с co_await Unlock), вот тест:
https://github.com/YACLib/YACLib/blob/main/test/unit/coroutine/async_mutex.cpp#L273

Надо бы создать issue...

Google Cloud Shell - Command Injection

https://bugra.ninja/posts/cloudshell-command-injection/

Всего 5 месяцев фиксили

Jan 28, 2022, 06:40 PM: Sent the report to Google VRP.
Jan 28, 2022, 07:00 PM: Got the Nice Catch! message. Report accepted as P1.
Feb 15, 2022, 08:55 PM: $$$$ :)
Jun 1, 2022, 02:42 PM: Fixed. (probably fixed before, but I noticed on Jun 1)

ReactOS покоряет Эльбрус 🏔️

Скрин прислал @ge0gr4f
Запуск произведен в режиме трансляции инструкций x86. Версия транслятора Lintel 4.2

Наша наступна ціль: дуже відоме програмне забеспечення в світі віртуалізації - vmware workstation 16. Перший сезон нашого курсу прямує до свого завершення, а що то за сезон, в якому не було сюжету на декілька серій. Дослідження цього продукту буде поділено на частини - в першій частині ми подивимося, як досліджувати вікна програми, чим це робити, та яку інформацію вікна можуть нам надати. Дивіться відео за посиланням:

https://youtu.be/obAzr-qYr7g

Друга частина аналізу vmware workstation 16. Ви побачите, як працює COM техногія та дізнаєтеся, що треба робити, щоб знайти розташування цікавого вам коду у COM сервері. Лінк на відео:

https://youtu.be/W1X3eawtMTA